具有DPDK和英特尔®82599网络控制器的内联IPsec(文末福利继续哦~)

最新推荐文章于 2023-12-23 16:48:50 发布
最新推荐文章于 2023-12-23 16:48:50 发布
阅读量2.2k 收藏 7
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37097605/article/details/101514497
版权
640?wx_fmt=gif

作者简介

640?wx_fmt=png

Radu Nicolau,英特尔的网络软件工程师。 他的工作目前主要是数据平面功能和库的IPsec相关开发。

本文介绍DPDK框架下的 inline IPsec加速支持方案,重点介绍如何在Intel®82599 万兆以太网控制器系列【1】下启用inline IPSEC加速。

inline IPsec在某些加密算法中具有比look aside加速延迟更低等优点。

本文包含IPsec的“lookaside”硬件加速和inline IPsec之间的差异(即,数据包流差异和应用程序端在性能和处理方面的预期差异)等背景信息,并将简要介绍测试下itong的设置,以及如何安装和运行IPsec网关应用程序的示例。

本文假设使用的DPDK版本是17.11或更高版本。

 

背景

DPDK安全库【2】提供了一个用于管理和配置卸载到基于硬件的设备的安全协议操作的框架。 该库定义了用于创建和释放安全会话的通用API,这些会话可以支持完整协议卸载以及使用inline 加密操作的网络接口控制器(NIC)或加密设备。

DPDK 安全库自17.11发布以来一直包含在DPDK中,该安全库引入了部分用于为英特尔82599万兆以太网控制器提供inline 加密(IPsec)加速提供了支持的API和功能。 DPDK IXGBE【3】驱动程序也相应更新了对inline IPsec的支持。

英特尔82599万兆以太网控制器系列仅支持AES-GCM 128对称加密算法,因此也仅支持如下IPSEC相关协议:

•仅ESP验证:AES-128-GMAC(128位密钥)

•ESP加密和身份验证:AES-128-GCM(128位密钥)

IPsec安全网关【4】示例应用程序也支持此功能,下面将对此进行更详细的说明。

640?wx_fmt=gif

数据包流

首先,让我们看看数据包流和通过系统处理。

640?wx_fmt=png

上述流程图介绍解密一个IPsec包的各种可能步骤及阶段。 第一种情况使用 lookaside Intel® QuickAssist技术(intel®QAT)硬件加速器对其进行处理(解密和/或验证)。 第二种情况使用英特尔82599万兆以太网控制器中提供的inline IPsec硬件处理进行处理。

第二阶段(解密和/或身份验证)与网络控制器本身的包接收阶段相结合。DPDK应用程序仍然需要处理封装安全有效负载(ESP)数据包的封装和解封装。

除了包方向之外,输出流是相同的。

软件API和示例应用程序

现在,让我们看看软件API、要求和使用模型。 我们将使用IPsec安全网关【5】示例应用程序中的代码摘录,为了清晰起见进行了简化,并删除了错误处理。

首先,我们需要创建一个安全会话,从以下配置开始:

640?wx_fmt=png

接下来,创建安全会话:

640?wx_fmt=png

然后,创建一个RTE_FLOW_ACTION_TYPE_SECURITY流程:

640?wx_fmt=png

这样,配置完成,安全关联(SA)对于与创建的流匹配的传入ESP数据包处于活动状态。 “rte_mbuf”结构中的卸载标志将指示是否通过设置PKT_RX_SEC_OFFLOAD标志来inline 处理数据包,如果发生任何错误,还将设置PKT_RX_SEC_OFFLOAD_FAILED。

对于输出数据包,编程类似,只是应用程序需要设置卸载标志PKT_TX_SEC_OFFLOAD。

测试系统设置

除DPDK和示例应用程序外,我们还将使用Python * scapy v2.4.0(数据包生成器)和pycryptodome v3.6.0(提供AES-GCM支持)来生成明文和加密数据包。

将以下内容另存为inline_ipsec.py:

640?wx_fmt=jpeg

测试系统配置如下图所示:

640?wx_fmt=png

该配置使用两个Intel®82599ES万兆以太网控制器双端口卡连接,如上所示。

在此特定配置中,卡1端口将分配给DPDK驱动程序,端口0 BDF 06:00.0和端口1 BDF 06:00.1。 卡0端口将分配给内核驱动程序,标识为enp2s0f0和enp2s0f1。 注意,不同系统的地址和端口名称可能不同。

根据此数据创建IPsec示例应用程序配置,并将其另存为名为inline.cfg的文件。 例如:

640?wx_fmt=png

然后按如下方式启动应用程序:

640?wx_fmt=png

请注意,NULL加密设备存在仅因为IPSEC-SECGW应用程序需要一个“真正的”加密PMD(历史遗留原因)。

 

测试ESP解密和转发解密的数据包:

为了测试应用程序,在端口1上发送加密数据包:

python inline_ipsec.py -i enp2s0f1 -s 64 -c 32 -e 1

在侦听端口0时:

tcpdump -i enp2s0f0 –vvX

应在端口0上观察到解密的数据包:

640?wx_fmt=png

数据包流如下:

1.在端口1上接收ESP数据包。

2.端口1 RX队列包含有效负载解密的ESP数据包。

3.ESP解封装。

4.在端口0上发送包含解密有效载荷的明文包。

 

测试ESP加密

为了测试应用程序,在端口0上发送明文数据包:

python inline_ipsec.py -i enp2s0f0 -s 64 -c 32 -e 0

在侦听端口1时:

tcpdump -i enp2s0f0 –vvX

640?wx_fmt=png

数据包流如下:

1.端口0收到明文报文。

2. ESP封装。

3.数据包放在端口1的TX队列中。

4.数据包在传输过程中由端口1加密。

结论

本文介绍了英特尔82599万兆以太网控制器提供的inline IPsec支持的详细信息,内部工作原理以及DPDK框架如何支持,以及如何构建可利用该功能的应用程序。

640?wx_fmt=gif

附上文注释详细链接

  1. https://www.intel.com/content/www/us/en/embedded/products/networking/82599-10-gigabit-ethernet-controller-family-documentation.html

  2. http://doc.dpdk.org/guides/prog_guide/rte_security.html

  3. http://doc.dpdk.org/guides/nics/ixgbe.html#inline-crypto-processing-support

  4. http://doc.dpdk.org/guides/sample_app_ug/ipsec_secgw.html

  5. http://doc.dpdk.org/guides/sample_app_ug/ipsec_secgw.html

640?wx_fmt=png

转发抽奖啦

640?wx_fmt=png

送!京东电子卡

活动规则:带文字将本文转发至朋友圈,并将截图发至公众号后台,小编将随机抽取十位,每人送出一张京东十元电子卡!中奖名单见下期推送。

领取方式:后台发送卡号及卡密。


点击下方精彩回顾

640?wx_fmt=png
640?wx_fmt=png

DPDK与SPDK开源社区

长按扫码关注我们

640?wx_fmt=jpeg

weixin_37097605
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
2019中国技术峰会系列三|DPDK IPSEC: A Scalable High Performance Library
weixin_37097605的博客
07-31 469
今天,我们给大家分享Fan Zhang和Cunming Liang在峰会上介绍的DPDK IPsec 作为可延展的高性能库的应用情况。演讲主要分为5个部分:1....
DPDK和Hyperscan构建的网络防御系统
09-18
针对系统并发访问用户数量急剧提升,后端的安全验证对服务器消耗日益突出的问题,ntel DPDK 和 Hyperscan 的网络安全防御系统,系统基于并行处理机制,在数据经过的网关处进行安全验证,以有效的避免子后端服务器可 能遭受的DDoS 的攻击,减轻了子后端服务器的压力和保护服务器的健康运行。
DPDK峰会:Accelerate VPP Workload with DPDK Cryptodev Framework.pdf
12-04
DDPDK技术峰会PPT讲稿分享,DPDK开发者大会讲稿分享,演讲者英特尔资深工程师,该文档讨论了DPDK框架中的Cryptodev,如何在VPP/IPSec方案中使用Cryptodev,以及使用Intel QAT时的性能测量:Accelerate VPP Workload with DPDK Cryptodev Framework – Fan Zhang @ Intel
Intel X710/82599万兆网卡DPDK测试方法.doc
05-14
Intel X710/82599万兆网卡DPDK测试方法(带截图及详细步骤),主要讲述如何使用打流仪及DPDK工具去验证网卡收发数据是否正常
DPDK峰会:DPDK 多尺寸网络包内存池优化DPDK Multiple Sized Packet Buffer Pool.pdf
04-02
DPDK技术峰会PPT讲稿分享,DPDK开发者大会讲稿分享,演讲者 胡兵全ARM Corp,演讲内容 DPDK Multiple Sized Packet Buffer Pool,DPDK 多尺寸网络包内存池优化
DPDKipsec-secgw(安全网关)
hhd1988的专栏
04-25 1788
安全策略(SP)用ACL规则实现,安全关联(SA)存储在一个表,路由是通过LPM实现。
dpdk-ipsec-secgw 【dpdk20.11】
zhangyikuaile的博客
12-23 444
【代码】dpdk-ipsec-secgw 【dpdk20.11】
DPDK 操作记录
wq897387的专栏
04-12 1026
dpdk操作记录
Intel 82599 双万兆光口网卡的多VLan设置(Dante Controller可用)
wubo1981的博客
04-03 1668
设备管理需要自动控制电脑访问多个网络vlan,选择最普遍的Intel 82599ES方案的双万兆网卡尝试。dante contoller可访问控制。
DPDK Release 22.03
weixin_37097605的博客
04-06 1896
近期,DPDK团队正式发布了22.03版本,本次发布的亮点包括:为Intel QAT 1.7 PMD添加非对称加密支持。为Intel QAT PMD 添加OpenSSL 3.0 的兼容。为 AF_XDP PMD 添加次进程的支持。为 AF_XDP PMD 添加 libxdp 的支持。改进了Intel ice PMD 的 FDIR 和 rte_flow 功能。 ...
cpp-FStack一个基于DPDK的开源和高性能网络框架
08-16
F-Stack一个基于DPDK的开源和高性能网络框架
在多线程数据平面开发套件(DPDK)应用程序中优化内存使用
RToax
11-18 612
目录 介绍 参考申请 环与堆叠 从环形内存池转移到堆栈内存池所需的代码更改 测试方法 结果 结论 关于作者 资源资源 尾注 介绍 高速数据包处理应用程序可能会占用大量资源。软件工程师和架构师可以提高其应用程序性能的一种方法是,将其数据包处理管道划分为多个线程。但是,这可能导致对缓存和内存资源的压力增加。因此,保持应用程序的内存占用量相对于数据平面流量尽可能小是制作高性能应用程序的关键。本文提供了一种优化多线程数据包处理应用程序的内存使用的技术,该技术应提高内存绑定应用程序的性能.
DPDK19.02 已发布,新版本都有哪些新功能和变化?
weixin_37097605的博客
03-21 1350
DPDK 19.02版本发布,新功能和变化等你来Get!▌ 新功能1.增加了对按原始分配释放大页的支持一些使用内存事件回调(特别是管理RDMA内存区域的事件)的应用程序...
82599 网卡 DPDK vxlan inner L4 checksum offload
legend050709的专栏
03-22 869
目录思想ixgbe_tx_offloadol_flags参考 思想 以IXGBE驱动为例,看一下如何让把内层报文Checksum的计算Offload给网卡。 本质上来说,是在DPDK的mbuf结构中: 将L2 Header的长度配置为外层VxLAN报文+内层L2 Header的总长度,这样对网卡来说,该mbuf对应的报文就是一个L2 Header长得令人发指的普通非隧道报文。 但是这样就可以计算内层L3/L4 Header的Checksum了。 ixgbe_tx_offload 在DPDK的IXGBE驱动代
VPP系统 配置IPSec IKEv2 远端地址any
沉默的鹏先生
03-18 3753
1、配置拓扑 PS: VPP1主动发起IKEv2协商并建立IPSec隧道,VPP2被动和VPP1建立IPSec隧道。 2、VPP1配置(主动) 2.1、接口配置 1、启用GigabitEthernet2/1/0 set int state GigabitEthernet2/1/0 up 2、GigabitEthernet2/1/0口配置IP set int ip address ...
DPDK — 网卡驱动初始化流程
烟云的计算
06-14 3704
目录 文章目录目录总览rte_eth_dev/rte_eth_dev_data 数据结构rte_eth_dev_count 函数rte_eth_dev_configure 函数ixgbe_dev_configure 函数rte_eth_dev_rx_queue_config/rte_eth_dev_tx_queue_config 函数rte_eth_rx_queue_setup 函数ixgbe_dev_rx_queue_setup 函数rte_eth_tx_queue_setup 函数ixgbe_dev_t
dpdk结合sriov测试vpp ipsec性能
lingshengxiyou的博客
11-24 1046
既然veth pair不好用,那就用物理网卡,但卡又不够用,外面交换机又不受控制,突然想到了sriov,多虚出来几个物理网卡。vpp另一个网卡本来想直接用整个物理网卡,但是结果用着用着就莫名其妙NO-CARRIER了,提示没有接网线,原因不明,reboot物理机就好了,试着用vf就没再碰到这个问题。测试结果300s的数据,测试了vpp三层转发,用openssl的ipsec和用dpdk mb crypto的ipsec,分别是5Mpps,1.4Mpps和1.2Mpps。领取,关注我持续更新哦!
Python优秀项目 基于Flask+Markdown实现的生成app官方网站源码+部署文档+数据资料.zip
最新发布
05-25
CSDN IT狂飙上传的代码均可运行,功能ok的情况下才上传的,直接替换数据即可使用,小白也能轻松上手 【资源说明】 Python优秀项目 基于Flask+Markdown实现的生成app官方网站源码+部署文档+数据资料.zip 1、代码压缩包内容 代码的项目文件 部署文档文件 2、代码运行版本 python3.7或者3.7以上的版本;若运行有误,根据提示GPT修改;若不会,私信博主(问题描述要详细) 3、运行操作步骤 步骤一:将代码的项目目录使用IDEA打开(IDEA要配置好python环境) 步骤二:根据部署文档或运行提示安装项目所需的库 步骤三:IDEA点击运行,等待程序服务启动完成 4、python资讯 如需要其他python项目的定制服务,可后台私信博主(注明你的项目需求) 4.1 python或人工智能项目辅导 4.2 python或人工智能程序定制 4.3 python科研合作 Django、Flask、Pytorch、Scrapy、PyQt、爬虫、可视化、大数据、推荐系统、人工智能、大模型
dpdk-devbind.py绑定Linux系统中的网络设备和DPDK驱动程序的执行过程
06-09
dpdk-devbind.py绑定Linux系统中的网络设备和DPDK驱动程序的执行过程如下: 1. 查看系统中可用的网络设备及其驱动程序。 ``` $ dpdk-devbind.py --status ``` 2. 查看DPDK支持的网络设备及其驱动程序。 ``` $ dpdk-devbind.py --status -c network ``` 3. 解绑网络设备的内核驱动程序。 ``` $ sudo dpdk-devbind.py -u <device> ``` 4. 绑定网络设备的DPDK驱动程序。 ``` $ sudo dpdk-devbind.py -b <driver> <device> ``` 其中,<driver>为DPDK支持的网络设备驱动程序名称,<device>为需要绑定的网络设备名称。 5. 验证网络设备是否已经绑定到DPDK驱动程序。 ``` $ dpdk-devbind.py --status ``` 如果网络设备已经绑定到DPDK驱动程序,则会在输出结果中显示。 以上就是dpdk-devbind.py绑定Linux系统中的网络设备和DPDK驱动程序的执行过程。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值